Click sull'immagine per ingrandire

    Dopo 15 anni, 8 decreti proroga, il prossimo 25 luglio 2014 finalmente cessa il regime da “oste come è il vino”, e avverrà un passaggio epocale: la sicurezza dei dispositivi/server di firma remota verrà equiparata a quella delle tanto sicure ma poco usabili smartcard.

    Il passaggio al regime di certificazione finalmente arriva con l’ultimo decreto in cui il legislatore ha dato prova di funambolismo e incertezza della norma, decretando un ritorno al passato, attraverso il passaggio da un regime di certificazione, sancito dal precedente decreto, il 7°, ad un regime di autocertificazione, e stabilendo il termine ultimo (25 luglio 2014 per l’appunto) come  “definitivo” (la scadenza superlativa?).

    In virtù di ciò la certificazione della sicurezza diventa un concetto non più opinabile, ma verificabile a fronte di un “bollino blu” di standard di sicurezza Common Criteria EAL4+, che i vari produttori di apparati in certificazione, o certificati presso OCSI (Organismo di Certificazione della Sicurezza Informatica), potranno esporre a garanzia della sicurezza e della utilizzabilità della loro soluzione a partire da luglio 2014. Il marchio CC EAL4+ dimostra ai clienti attuali e potenziali che il prodotto ha subito un processo di revisione e test molto rigorosi (il processo di certificazione EAL4+ ha tempi che variano da un minimo di 6 mesi ad un massimo che può arrivare anche a 4 anni) che ne certificano l’utilizzabilità nei contesti d’uso per cui è stata emessa la ceritficazione.

    La certificazione diviene requisito sostanziale per la validità delle firme digitali “apposte” sui documenti, una firma digitale remota apposta tramite l’uso di un dispositivo non certificato non potrà più esistere, ed esporrà il firmatario alla possibilità (non remota, ma molto concreta) di vedere invalidato l’atto, perché firmato con firma digitale non “buona”.

    Ad oggi OCSI ha rilasciato due attestati di conformità alla società Safenet Inc.

    Attestato di Conformità n. 1/12 del dispositivo Luna® PCI Configured for Use in Luna SA 4.1 per la Creazione di Firme Elettroniche ai Requisiti di Sicurezza Previsti dall’Allegato III della Direttiva 1999/93/CE

    Attestato di Conformità n. 1/14 del dispositivo Luna® PCI Configured for Use in Luna® SA 4.5.1 (RF) per la Creazione di Firme Elettroniche ai Requisiti di Sicurezza Previsti dall’Allegato III della Direttiva 1999/93/CE

    E sono in corso di accertamento altri due prodotti:

    1. il prodotto CoSign della società ARX, che a specifica richiesta ha dichiarato ufficialmente di essere nei tempi previsti e si aspetta di completare la certificazione in linea con le scadenze della legge italiana, leggasi prima del 25 luglio 2014.
    2. il prodotto nShield Solo F3 PCIe HSM della società Thales e-Security Ltd che interpellata sul tema dapprima si è dichiarata disponibile a farci avere un riscontro, successivamente, come la volta scorsa, non ha dato risposta.

    Sul tema abbiamo richiesto una dichiarazione anche ad Assocertificatori, chiedendo la posizione della Associazione a riguardo del tema certificazione, ed in particolare come si sta muovendo l’Associazione nei confronti dei “consumatori finali” (se ha approntato una campagna di comunicazione? se sta organizzando seminari per addetti ai lavori? ecc.) e di come si sta rapportando con gli enti preposti, OCSI e AgID. Restiamo in fiduciosa attesa di ricevere un riscontro.

    La certificazione è qualcosa su cui la Comunità Europea sta spingendo molto, in quanto garantisce una valutazione di prodotto e di servizio super-partes, ed essendo basata su standard internazionali (Common Criteria, nel caso di specie) può essere spesa su tutto il territorio dell’unione, senza la necessità di logoranti processi di mutui riconoscimenti di validità. La proposta di regolamento dell’Unione europea in materia – 2012/0146 (COD), votato al Parlamento europeo il 3 aprile 2014, mantiene l’obbligatorietà della certificazione di sicurezza dei dispositivi di firma e lascia inalterata la necessità del controllo esclusivo, non modificando quanto già stabilito dalla legislazione nazionale.

    Articolo 29

    Certificazione dei dispositivi per la creazione di una firma elettronica qualificata

    1. La conformità dei dispositivi per la creazione di una firma elettronica qualificata con l’allegato II è certificata da appropriati organismi pubblici o privati designati dagli Stati membri.

    Risoluzione legislativa del Parlamento europeo del 3 aprile 2014 sulla proposta di regolamento del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (COM(2012)0238 – C7-0133/2012 – 2012/0146(COD))

    Inoltre i nuovi standard di sicurezza su cui fare la certificazione saranno pronti alla fine del 2015, con un margine di tempo dato agli Stati membri per adeguarsi di 24 mesi.

    “Gli standard internazionali portano vantaggi tecnologici, economici e sociali. Aiutano ad armonizzare le specifiche tecniche dei prodotti e servizi per rendere le aziende più efficienti e abbattere le barriere al commercio internazionale. La conformità alle norme internazionali aiuta a rassicurare i consumatori che i prodotti sono sicuri, efficienti e buoni per l’ambiente”.

    25 luglio 2014, tempo di ceritficazione.